Yeni ve gelişmiş bir kimlik avı kampanyası, resmi Fortinet VPN indirme portalının kimliğine bürünerek uzaktaki çalışanları ve BT yöneticilerini hedef alıyor.
Bu saldırı özellikle tehlikelidir çünkü kurbanları tuzağa düşürmek için arama motoru optimizasyonundan (SEO) ve endişe verici bir şekilde yapay zeka tarafından oluşturulan arama özetlerinden yararlanır.
Kampanya, ilk güvenlik filtrelerini atlamak için güvenilir alan adlarıyla başlayan, sonuçta VPN kimlik bilgilerini çalan ve kötü amaçlı yazılım dağıtan çok aşamalı bir yönlendirme mekanizması kullanıyor.
Alias G0njxa’lı güvenlik araştırmacısı, artık yapay zeka tarafından oluşturulan “hızlı yanıtlar” veya özetler içeren modern arama motorlarının istemeden bu kampanyayı desteklediğini gözlemledi.
Kullanıcılar “Fortinet VPN nasıl indirilir” diye arama yaptığında bazı yapay zeka özetleri, saldırganın kötü amaçlı GitHub deposundaki içeriği siliyor (vpn-fortinet[.]github[.]io) ve meşru bir adım adım kılavuz olarak sunmak.
İlk bağlantı saygın bir platform olan GitHub’da barındırıldığı için yapay zeka modellerinin ve kullanıcıların benzer şekilde kaynağa güvenme olasılığı daha yüksektir. Bu “halüsinasyona uğramış” güven, kullanıcıların bağlantıya tıklamasına yol açarak saldırı zincirini başlatır.
Saldırı Nasıl Çalışır?
Saldırı, güvenlik botlarını filtrelemek ve yalnızca belirli arama motorlarından gelen gerçek insan kullanıcıları hedeflemek için tasarlanmış akıllı, bölümlere ayrılmış bir akışı takip ediyor.
- Tuzak İnişi: Kullanıcı, şuraya işaret eden bir bağlantıyı tıklar: vpn-fortinet[.]github[.]io. Bu sayfada “yönlendireni” (kullanıcının geldiği web sitesi) kontrol eden bir komut dosyası bulunur.
- Seçici Yönlendirmeler: Kullanıcı Google, Bing, Yahoo veya DuckDuckGo gibi büyük bir arama motorundan ziyaret ediyorsa, komut dosyası onları otomatik olarak gerçek kimlik avı sitesine yönlendirir: fortinet-vpn[.]iletişim. Bir güvenlik tarayıcısı veya doğrudan ziyaretçi sayfaya bu yönlendirenler olmadan erişirse, yönlendirme tetiklenmeyebilir ve kötü niyetli niyet gizlenebilir.
- Kimlik Bilgisi Toplama: Hedef site, meşru Fortinet tasarımını mükemmel bir şekilde taklit ediyor. İndirmeye izin vermeden önce, yükleyiciyi “yapılandırmak” için kullanıcıdan “Uzak Ağ Geçidi”, “Giriş” ve “Şifre” bilgilerini girmesini isteyen sahte bir kalıcı açılır pencere oluşturur.
- Yem: Kurban kimlik bilgilerini doğrudan saldırganlara gönderdikten sonra site, indirme işlemini başlatır. dosyalarım2[.]indirmek. Şüpheyi önlemek için bu veri genellikle FortiClient yazılımının meşru bir sürümünü yükler ve mağdurun erişim ayrıntılarının ele geçirildiğinden habersiz kalmasını sağlar.
Uzlaşma Göstergeleri (IoC’ler)
BT yöneticileri aşağıdaki etki alanlarını derhal engellemeli ve bunlarla iletişim kuran dahili trafiği incelemelidir.
| IoC Türü | Değer | Tanım |
|---|---|---|
| Etki Alanını Yönlendir | vpn-fortinet[.]github[.]io | İtibar filtrelerinden kaçınmak için GitHub Sayfalarında barındırılan ilk açılış sayfası. |
| Kimlik avı URL’si | fortinet-vpn[.]iletişim | Kimlik bilgisi toplamanın gerçekleştiği hedef site. |
| Yük Ana Bilgisayarı | dosyalarım2[.]indirmek | Tuzak veya kötü amaçlı yazılım yükü için alan adı barındırma. |
Kuruluşlar, yasal yazılım indirme işlemlerinin yalnızca yükleyiciyi edinmek için nadiren ön kimlik doğrulama bilgileri gerektirdiğini çalışanlarına hatırlatmalıdır. Orijinallik her zaman yetkilinin URL çubuğu kontrol edilerek doğrulanmalıdır. fortinet.com ihtisas.
Üstelik bu kampanya, yeni ve kritik bir riskin altını çiziyor: Yapay zeka arama özetlerine körü körüne güvenmeyin. Uygun olmasına rağmen, bu araçlar açık web’den veri alır ve temel SEO taktiklerini kullanan tehdit aktörleri tarafından kolayca manipüle edilebilir. Tıklamadan önce daima kaynak bağlantısını doğrulayın.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
